目次

  1. ProjectWEBとは
  2. 富士通の対応
  3. 成田国際空港会社が被害を発表
  4. NISCの情報システムに関する情報も流出
  5. 国交省では7.6万件のメールアドレスが流出
  6. 外務省では検討資料が流出
  7. 総務省では情報システムに関する情報が流出
  8. NISCの注意内容

 ProjectWEBとは、富士通がプロジェクト運営をするときに社内外の関係者と情報を共有するためのツールです。

 1998年に導入され、2001年に顧客やビジネスパートナー向けに利用環境が提供されました。担当者が情報の入ったパソコンや記録端末を紛失、盗難されることによる情報漏洩を防ぎ、セキュアな運用環境を構築できると紹介していました。

 しかし、今回不正アクセスによる情報漏洩が明らかになりました。

 富士通は8月11日、影響範囲および原因の調査・分析の結果を公表しました。それによると、129の官公庁や企業の情報の一部が不正に閲覧またはダウンロードされていたことがわかりました。

 閲覧またはダウンロードされた情報には、顧客のシステムを構成する機器類に関する情報、プロジェクトの体制図、打合せメモ、作業項目一覧、進捗管理表、社内事務手続きに関する資料などがあり、一部には関係者の氏名・メールアドレス等の個人情報も含まれていたといいます。

 情報が盗まれた原因について、富士通は「第三者が正規のIDとパスワードを使用し、正常認証および正常通信により、本ツールに対して外部から不正アクセスを行ったものであることが判明しております。そのため、何らかの脆弱性を悪用したものである可能性が高い」と説明しています。

ProjectWEBへの不正アクセスの構図(朝日新聞デジタルから引用)

 富士通は今回の発表で具体的な被害を明らかにしていませんが、成田国際空港会社が5月20日、富士通が管理するプロジェクト情報共有ツールに対して第三者から不正アクセスされたとの報告を受けたと発表しています。

 情報共有ツールには、成田国際空港の運航情報管理システムに関係する情報も含まれており、外部に流出した可能性が高いとのことです。ただし、運航情報管理システム自体は外部からのアクセスが制限されているため、セキュリティは確保されていると説明しています。

 内閣サイバーセキュリティセンター(NISC)は5月26日、センターの情報システムを構成する機器類などに関する情報が外部に流出したとの報告を受けたと発表しました。

 6月2日、流出した情報の中に、NISCが実施したサイバーセキュリティに関する情報共有訓練に参加した組織の名称、参加者の役職、氏名の一部が含まれていることがわかりました。「このほかに今回新たに流出が報告された情報について、サイバーセキュリティ対策等へ重大な支障を来す情報は、現時点で確認されておりません」と説明しています。

 国交省でも、省内のシステムを構成する機器類に関する情報のほか、職員の業務用のメールアドレス、国交省と業務上関係がありメーリングリストに登録されていた省外の人のメールアドレスなど、少なくとも約7.6万件が外部に流出したことを確認しています。

 国交省のシステムへの不正アクセスは5月26日時点では確認できていないと説明しています。

 外務省では、デジタルガバメント実現に向けた検討資料が流出しました。一部に関係する個人を特定できる情報が含まれていることを確認したため、該当する人には連絡済みと説明しています。

 5月26日時点で、外務省のシステム、業務への影響は確認していないと説明しています。

 総務省は6月16日、富士通から情報システムに関する情報が外部に流出したとの報告を受けたと発表しました。総務省の情報システムを構成する機器類等の情報及び担当者の氏名、連絡先等の個人情報が含まれている可能性があるそうです。

 すでに被害拡大防止の応急対策を講じており、16日時点では不正アクセスによって流出した情報を悪用した被害は確認されていないと説明しています。

 内閣サイバーセキュリティセンター(NISC)は、政府機関やインフラ事業者に対し、委託先を含め同じようなツールを利用しているか確認し、利用の可能性がある場合は、以下の対応を検討するよう呼びかけています。

  1. 情報共有ツールの不正アクセス対策の確認
  2. システム内に格納されている情報の確認と情報漏洩時の機密情報の対応の検討
  3. 不正アクセスや情報漏洩が確認された場合の関係機関への報告